Avant qu'un acquéreur active un marchand pour l'acceptation de cartes, il exige une documentation de conformité PCI DSS. Le processus d'onboarding marchand PCI DSS varie en complexité selon le volume de transactions attendu et la nature de l'intégration technique. Comprendre ce qui est requis permet de préparer rapidement la documentation et d'éviter les retards d'activation.
Ce que l'acquéreur exige lors de l'onboarding PCI
La première étape de l'onboarding PCI consiste à classer le marchand selon les niveaux PCI DSS. Ces niveaux vont du Level 1 (plus de 6 millions de transactions annuelles) au Level 4 (moins de 20 000 transactions e-commerce annuelles ou moins d'un million de transactions au total). Le niveau détermine les exigences documentaires : les marchands Level 1 doivent soumettre un Report on Compliance (RoC) préparé par un QSA, tandis que les marchands Level 2, 3 et 4 peuvent généralement remplir un Self-Assessment Questionnaire (SAQ).
L'acquéreur exige typiquement : le SAQ complété et signé (ou le RoC pour le Level 1), l'Attestation of Compliance (AOC) confirmant la finalisation du processus, les résultats d'un scan de vulnérabilité trimestriel effectué par un Approved Scanning Vendor (ASV) pour les marchands gérant des composants réseau accessibles depuis Internet, ainsi que la documentation des politiques de sécurité internes. Certains acquéreurs demandent également un test de pénétration annuel pour les marchands des niveaux supérieurs.
Documents requis et délais selon le niveau marchand
Le temps nécessaire à l'onboarding PCI dépend principalement du type de SAQ applicable. Le SAQ A, destiné aux marchands qui ne touchent jamais les données de carte (parce qu'ils utilisent un prestataire certifié pour la collecte et le traitement), comprend 22 exigences et peut être complété en quelques heures. Le SAQ D, applicable aux marchands qui gèrent le CDE en interne, compte plus de 300 exigences et nécessite des semaines de travail avec un support de conseil externe.
Les documents d'identité et d'enregistrement d'entreprise, les informations d'architecture technique et le diagramme de flux des données de carte sont demandés par presque tous les acquéreurs, quel que soit le niveau. La création du diagramme de flux de données, qui doit montrer comment le PAN entre, circule et sort des systèmes du marchand, est souvent l'étape la plus chronophage lorsqu'elle n'a pas été préalablement documentée.
L'impact du périmètre sur la vitesse d'onboarding
L'élément qui influence le plus la vitesse de l'onboarding PCI est la complexité du périmètre à déclarer. Un marchand qui utilise PCI Proxy EU pour la collecte et le traitement des données de carte peut déclarer un CDE minimisé : ses systèmes ne traitent jamais les PAN en clair et ne tombent donc pas dans le périmètre. Cela permet de remplir un SAQ A plutôt qu'un SAQ D, économisant ainsi des semaines de travail dans le processus d'onboarding.
Présenter à l'acquéreur un diagramme de flux de données montrant le proxy comme seul point de traitement des PAN, ainsi que l'AOC de PCI Proxy EU en tant que prestataire de services certifié, accélère considérablement le processus d'approbation. De nombreux acquéreurs disposent de procédures simplifiées pour les marchands qui utilisent des prestataires certifiés pour le traitement des données de carte, reconnaissant que le risque est géré par une infrastructure déjà contrôlée.
Renouvellement annuel de la conformité PCI
L'onboarding n'est que la première étape : la conformité PCI DSS doit être renouvelée chaque année. Le cycle de conformité PCI est annuel — le SAQ ou le RoC doit être renouvelé chaque année, et les scans ASV (pour les marchands dans le périmètre) doivent être effectués trimestriellement. Certains acquéreurs envoient un rappel automatique 60 à 90 jours avant l'expiration de l'AOC en cours, mais il incombe au marchand d'initier le processus de renouvellement en temps utile.
Un marchand qui maintient un CDE minimal grâce à la tokenisation bénéficie d'un avantage considérable lors des renouvellements annuels : la documentation à préparer est moins volumineuse, les scans de vulnérabilité couvrent moins de composants et le risque de non-conformité est structurellement réduit. La conformité annuelle devient ainsi une tâche administrative légère plutôt qu'un projet lourd de plusieurs semaines.
Questions fréquentes sur l'onboarding PCI DSS
L'acquéreur peut-il bloquer les paiements si je ne soumets pas de SAQ ?
Oui. L'acquéreur a à la fois le droit contractuel et l'obligation envers les réseaux de cartes de vérifier la conformité PCI de ses marchands. Si la documentation n'est pas soumise dans les délais prescrits, l'acquéreur peut appliquer des frais supplémentaires, restreindre les fonctionnalités de paiement ou, dans les cas les plus graves, résilier l'accord d'acceptation.
Comment PCI Proxy EU simplifie-t-il l'onboarding ?
En utilisant PCI Proxy EU, vos systèmes ne traitent jamais les PAN en clair. Vous pouvez donc déclarer un CDE minimal à votre acquéreur, remplir un SAQ A au lieu d'un SAQ D et présenter l'AOC de PCI Proxy EU comme preuve de conformité déléguée. Cela réduit considérablement la complexité et la durée du processus d'onboarding.
Dois-je transmettre l'attestation PCI directement aux réseaux (Visa/Mastercard) ?
Pour les marchands Level 1, l'AOC doit être transmise directement aux réseaux (Visa, Mastercard) ainsi qu'à l'acquéreur. Pour les marchands Level 2, 3 et 4, la documentation est généralement gérée par l'acquéreur. Dans les deux cas, l'acquéreur est le principal interlocuteur du marchand tout au long du processus de conformité.
Vous souhaitez accélérer l'onboarding PCI auprès de votre acquéreur en présentant un CDE réduit ? Découvrez comment PCI Proxy EU simplifie le processus. Découvrir PCI Proxy EU.